Eftersom II-stiftelsen inte verkar bry sig och inte svarar på mail på flera dagar, så tar jag upp det här.


Jag funderar på säkerheten vid domänöverlåtelser.
När man fyller i en överlåtelseblankett så är det bara min namnteckning som stryker att jag godkänner överlåtelsen. Det finns inga lösenord/koder och dylikt till domännamn.
Hur säkert är egentligen ett sådant system? Känns väldigt bedrägeri-vänligt.
Vad händer om någon förfalskar min namnteckning (för alla andra uppgifter som fylls i på blanketten kan slås upp)? Att förfalska en namnteckning är nog egentligen inte svårt. Låt oss säga att "domännamnsrånarna" har en kopia på min namnteckning. De fyller sedan i en överlåtelse för ett domännamn som jag äger på sig själva och skickar in. Domänen förs över på dem. Jag blir inte ens informerad från IIS via e-post om en överlåtelse sker, detta är ennu en sak som är dålig med dagens system. Jag kanske upptäcker sedan att min domän nu står på en annan ägare inom rimlig tid. Jag överklagar. Vad finns det i sådana fall för bevis att jag inte har skrivit under blanketten själv? Endast det, att jag säger att det är min domän och jag aldrig fyllt i blanketten? Vad finns det för bevis mot "domännamnsrånarna" i detta fall, att de har förfalskat en namnteckning? Kanske får jag till slut mitt domännamn tillbaka i en sådan situation (räkna på förlorade pengar medans domänen inte fungerade rätt), men de blir knappast fällda i domstol.

Vad jag syftar på är att man kanske borde se över hela överlåtelseprocessen: sluta med pappersblanketterna och sköta överlåtelser via webben med t.ex. BankID samt skicka bekräftelser på överlåtelse till den gamla samt till den nya ägaren.

Upp till diskussion!

Kan bara instämma i ditt tänk. Har själv funderat i samma banor.

Någon borde testa hur lätt det är att sno någon annans domän.

Det blir stöld (iofs. polisen tar inte fall som är under 500:-. Köpvärdet på en domän är trots allt 160:- ) samt urkundsförfalskning.


Alltinggratis:

Får jag din tillåtelse att "låna" din namnteckning och testa på en "dummy" domän? :)

Ja, men finns det ens bevis för stöld och urkundsförfalskning? Läs mitt resonemang ovan.

Denna kommentar fick jag av Loopia:

Prata med ombudsföreningen om detta

Nu kom ett svar från .SE (Stiftelsen för Internetinfrastruktur)
Det är mycket sällan ... låter inte så säkert. Och att ha certifikatinloggning som ett alternativ och inte obligatoriskt (så som jag förstod brevet) löser ju inte problemet.

Vad är ombudsföreningen?

Läs här: http://www.registrars.se/

Alltså iis är roliga, de ger bort flera miljoner varje år i stipendier men nedprioriterar en så viktig sak som säkerhet vid domän överlåtelse. Snacka om amatörmässigt.

Jag har kontaktat dem nu med hänvisning till denna tråd.

Alltså en bedragare behöver inte ens vara med i bilden.
Låt oss säga att det finns 3 konkurrerande webbsidor: A, B och C.
Ägarna av dessa är a, b och c respektive.

Person a skriver under en domänöverlåtelseblankett som ser ut att komma från person b, där b överlåter domännamnet B till person c som äger sidan C.
Blanketten kan omöjligen spåras tillbaka till person a, eftersom han varken är mottagaren eller den tidigare ägaren av domännamnet. Däremot blir person b misstänkt för urkundsförfalskning.
Hur denna historia än slutar så har a vunnit på kuppen och till hans sida A vänder sig nu fler kunder, eftersom de antingen inte kunde komma in på sida B, eller har läst om misstankar mot person b som driver sidan B. Dessutom kan sida C på samma sätt överlåtas till person b, för att skapa ännu mer trubbel för båda ägarna och sidorna.

Jag ska absolut ha stipendiet för att jag lyfter den här frågan!

Det här måste verkligen åtgärdas snarast, finns ju åtskilliga otrevliga scenarier tex tänk om nån via en utlänsk målis skulle ta över aftonblaskan med sina åtskilliga miljoner besökare per vecka och peka om den mot en parkeringssida, den skulle antagligen generera åtskilliga årslöner innan ägaren skulle få tillbaks den via atf, för att inte tala om vilken skada det skulle åsamka företaget.

Det är verkligen skandal att det inte är större säkerhet på svenska domäner. Tänk om det skulle vara like "enkelt" att ta över .com domäner, där händer det ju ganska ofta att domäner hijackas genom att brottslingar installerat keyloggers via trojaner för att komma åt de administrativa mailkontona, då har förrövaren verkligen lagt ned krut på att ta över domänen.

Som många varit inne på tidigare så är det jävligt lätt att ta över någon annans domän, framförallt om den som står som ägare inte är helt hemma på detta.

Hjälpte tidigare ett företag med deras hemsida, men tyvärr konkade de med tiden och andra ägare tog över. De nya ägarna gjorde det fräcka att de förfalskade namnteckningen och skrev över den på sig. Då kanske frågan är varför inte det gammla ägarna inte aggerade mer än de gjorde?

Det kluriga i det hela var att domänen i grunden stod på en mycket gammal ägare till ett annat konkat företag(många företag på samma plats, som bedrivet liknande verksamheter). Han har gett alla andra rättigheter att använda adressen fullt ut, men han har stått som ägare och betalare. Han har inte velat släppa den just genom att det även i grunden är ett ortnamn.

Kontentan är att de senaste(även de konkade ju så klart), helt enkelt förfalskade namnteckningen och gjorde både stöld och urkundsförfalskning. Och allt var ju hur lätt som helst.

Kort och gott, deras system i dag är helt sjukt. Även har det ju varit så alltid, alldeles för lätt att ta över någons domän. Att IIS hävdar att det inte händer så ofta, kanske beror på att folk inte i många läget orkar bråka om saken. Det kostar troligen mycket mer att driva rättligt än att köpa domänen i grunden. Och är inte värdet jätte högt på själva namnet blir det ju mindre troligt att man orkar bry sig.

Antagligen så fattar person C att något är skumt när räkningen kommer ifrån IIS... Vilket resulterar i att han antingen betalar eller bestrider fakturan och dom spårar skiten och person C åker dit för förfalskning...

Förutom att överlåtelser debiteras via ombuden då...

Vi (Ombudsföreningen) återkommer med svar så snart vi har diskuterat detta internt.

Denna fråga kan ju inte vara ny, har ju tänkt i dessa banor i flera år.
Systemet är ett skämt, du kan ta ner vilken sajt som helst genom en falsk signatur och göra ett dns byte. Vad finns det egentligen för rutiner när detta uppståt?

Gäller det större sidor tex aftonbladet eller säpo.se så ringer dem väl upp och kontrollerar antar jag.

Jag tänkte faktiskt på exakt samma sak tidigare när jag bytte ägare på ett domännamn.

Riktigt märkligt.

Borde finnas något typ av lösenord istället, för faxa in kan väl vem som helst göra.

Personuppgifter så som personnummer och hemadress är inte längre särskilt svårt att få tag på. Dock så ser staten fortfarande på personnummer som om det vore kreditkort. Mycket märkligt..

mvh

Man kunde iaf förut ansöka hos iis att en domän inte ska gå att uppdatera via domnhanteraren. Om detta skydd fungerar mot överlåtelser är dock ovist. Men någon annan kanske vet?

Du pratar om en annan sak. Jag säger inte att man kan själv sno ett domännamn till sig själv hur lätt som helst. Och aftonbladet.se är inte ett bra exempel. Klart de kollar upp sådana stora siter.
Men om jag däremot överför domännamnet aftonbladet.se till ägarna av expressen.se så finns det ingen chans att de vet att det är jag som skickat in blanketterna, då jag verkan har med aftonbladet eller expressen att göra, och då jag inte skriver någon avsändaradress på själva kuvertet.

Edit:
(Läs "mindre sida 1" och "mindre sida 2" istället för "aftonbladet" och "expressen" ovan)

Jag kommer ihåg gamla tiden när alla com net org var via netsol och man använde ett mailformulär för att göra ändringar... Det var dålig säkerhet det. Man begärde en ändring av en domän man ägde. Fick tillbaka ett epost med ett formulär som man skulle svara på ifrån rätt avsändare på eposten.... nu var det bara att anväda detta svar och byta ut domänen man ville ändra till valfri och systemet uppdaterade utan att blinka. Under några år på 90-talet så kunde man ta kontrollen på vilken domän som hellst, helt automatiskt.

Vi får hoppas att IIS anar ugglor i mossen när det kommer ägarändringar eller uppdateringar av epostadress som ser suspekta ut. Det är nog allt vi kan göra i dagsläget. IIs har ju iaf en person som går igenom dessa vilket borde göra att dessa kontrolleras lite mer.

Innan IIS lanserade domänhanteraren i feb kunde man faktiskt ringa in till IIS och spärra/låsa sin domän för överlåtelse. Vet inte riktigt hur den spärren fungerade men det var nån slags säkerhet mot överlåtelser.

Den 2:a feb 2007 fick jag detta mail från IIS.

"Ni är innehavare av ett domännamn som ni låtit spärra för uppdateringar med engångslösenord via .SE:s självbetjäningssystem. Spärren har till syfte att försvåra för andra än innehavaren att komma över sådan information som krävs för att ändra adressuppgifter eller på annat sätt manipulera uppgifter som hör till domännamnet.

Med detta brev vill vi göra er uppmärksam på att spärren mot uppdatering med engångslösenord kommer att tas bort i samband med att .SE den 12 februari 2007 går över till ett nytt, kontobaserat administrativt system för domännamnsregistret - Domänhanteraren. Från och med detta datum kommer vi istället att utnyttja användarnamn och lösenord som identifieringsmetod för den som loggar in i Domänhanteraren och gör ändringar.

...

Senare i år kommer .SE att erbjuda inloggning i Domänhanteraren med hjälp av certifikat, vilket ytterligare försvårar för utomstående att ta sig in på ert konto. Vi återkommer med mer information när den tekniken är på plats, för att ge er möjlighet att ytterligare höja säkerheten för ert domännamn."

Jag förstår inte hur IIS tänker! Vad spelar det för roll om det blir svårare (på vilket sätt?) att logga in till domänhanteraren, om man inte behöver göra det för att överlåta en domän.

Precis, fattar dom inte något så grundläggande så är ju hoppet ute. Visste dom inte att sveriges oskuld är borta – brott sker även här.

Nu är tråden rensad.

Läs igenom hela tråden och tänk både en och två gånger innan en kommentar skrivs här så slipper vi låsa tråden.

Tack. Nu kan mn fortsätta med en seriös diskussion.

Saken är den att Ombudsföreningen fortfarande inte har uttalat sig i frågan och IIS svarar inte på mail - varken angående detta eller andra problem med deras tjänster. Hur ska man gå tillväga?

Det kan ju ha att göra med att de behöver prioritera en del saker fn.

De står ju inför det största "tappet" i IIS´s historia där dom uppskattningsvis kommer att tappa 70-80K domäner (IDN)- kanske mer. Samtidigt som dessa domäner då inte är sökbara i domänhanteraren. Det "kan" ju bli svårt att förklara för en VD som har siktet inställt på 800 000 .se-domäner om ca 1 år.

Samtidigt som synkningen mellan domänhanteraren och deras faktura utskrifter verkar fungera riktigt dåligt. Själv fick jag igår brevfakturor på de domäner jag betalade online för en vecka sedan...

Och sedan ett par dagar har de ytterligare tekniska problem då tjänsten DNSCHECK slutat fungera.

Så vi får väl vara glada om de svarar i telefonen efter nyår..
"Välkommen till punkt-ess-e, viket hörn av internet kan vi paxa för dig ?"

Denna fråga har varit uppe till diskussion i styrelsen för Ombudsföreningen och denna fråga har framförts till .SE ifrån Ombudsföreningens sida. Jag tror att alla medlemmar kan förvänta sig ett första svar på hur .SE och Ombudsföreningen ställer sig till frågan inom kort. Det tar lite längre tid att behandla frågor som dessa i Ombudsföreningen då man bara har möten varannan vecka för att besluta och sedan exekvera beslut. Det är dock inte bortglömt eller bortprioriterat.

Har det hänt något nytt förutom att .SE har kastat ut sina pengar på dessa värdelösa "reklamkampanjer"?
Har .SE uttalat sig i frågan? Ska de någon gång göra överlåtelsen säkrare och enklare?

Eller krävs det att några större företag ska bli av med sina domäner för att de ska inse hur allvarligt det är, precis som med alla dessa webbsidor som blivit hackade?

Skriver detta på grund av att en av mina kollegor fått en blankett returnerad där hans signatur har förfalskats av någon som försökte ta över domänen i fråga. Tursamt nog var det en dålig förfalskning och nu ska polisanmälan troligen ske, men det går knappast att bevisa något, vilket jag även påpekade tidigare i tråden.

På måndag ska jag ringa IIS. Berättar sedan hur det har gått, men jag tänker ställa dem mot väggen! Otroligt att de inte bryr sig om säkerheten alls!

Nu har jag ringt dem, gav inte så mycket, ett år till skulle det dröja innan ett nytt system var igång.
De såg däremot mitt förslag om att både den nya och gamla ägaren skulle informeras om att en överlåtelse har ägt rum via e-post direkt som en bra idé och skulle troligen läga in den rutinen inom ett par veckor.